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(57) Abstract 

An electronic credit card is disclosed, as well as a process for reloading an 
electronic credit card having an integrated semiconductor circuit that consists of at least 
one address and control logic circuit and a non-volatile memory with at least one erasable 
part. The memory addresses of the area of the non-volatile memory in which the value 
units of the credit card are stored are subdivided into partial zones (stages 1 to 5) of 
different priorities (orders of priority 1, 8. 64, 512, 4096). Memory addresses may only 
be erased if all memory addresses of a partial zone having a determined priority are 
erased at the same time, and each partial zone may only be erased after a carry-over 
value is written in a previously unwritten memory address of the partial zone having 
the next higher order or priority. The invention is characterised in that release values 
stored in a release register of the credit card are associated with the value units of at 
least the memory addresses of the highest priority partial zone (stage 5). These release 
values represent a release or a locking state for the associated value stored in the memory 
addresses of at least the highest priority partial zone. The value stored in the credit card may only be increased after the state of a release 
value associated with a memory address is changed from a locking state to a release state. 

(57) Zusammenfassurtg 

Die Erfindung bezieht sich auf eine elektronische Borsenkarte und ein Verfahren zum Wiederaufladen einer elektronischen 
Borsenkarte mit einer integrierten Halbleiter-Schaltungsvorrichtung bestehend aus zumindest einer Adrefl- und Steuerlogikschaltung und 
einem nichtfluchtigen Speicher, wobei zumindest ein Teil des nichtfluchtigen Speichers loschbar ist, und die Speicherpiatze des zum 
Speichem der jeweiligen Werteinbeiten der Borsenkarte vorgesehenen Bereiches des nichtfluchtigen Speichers in Teilbereiche (Stufen 1 bis 
5) jeweils unterschiedlicher Wertigkeit (Stufenwerte 1, 8, 64, 512, 4096) aufgeteilt sind, ein Loschen der Speicherplatze nur fur samtliche 
Speicherplatze eines Teilbereiches bestimmter Wertigkeit gleichzeitig moglich ist, und jeder Teilbereich nur gel&scht werden kann, nachdem 
das Einschreiben eines Obertragwertes in einen zuvor unbeschriebenen Speicherplatz des Teilbereiches der nachsthoheren Wertigkeit erfolgt 
ist. Die Erfindung zeichnet sich dadurch aus, dafi den Werteinheiten von zumindest den Speicherplfltzen des hochstwertigen Teilbereiches 
(Stufe 5) in einem Freigaberegister der Borsenkarte zu speichemde Freigabewerte zugeordnet sind, welche entweder einen Freigabe- oder 
einen Sperrzustand fur den jeweils zugeordneten Wertzustand der Speicherplatze des wenigstens hochstwertigen Teilbereiches reprasentieren, 
und eine Erhohung des Kartenwertes der Borsenkarte lediglich durch Anderung eines dem Wertzustand eines Speicherplatzes zugeordneten 
Freigabewertes vom Sperr- in einen Freigabezustand ermoglicht wird. 
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Beschreibung 



Elektronische BSrsenkarte und Verfahren zum Wiederauf laden 
5 einer elektronischen B6rsenkarte 

Die Erfindung bezieht sich auf ein Verfahren zum Wiederaufla- 
den einer elektronischen B6rsenkarte fur einen bargeldlosen 
Zahlungsverkehr mit einer integrierten Halbleiter-Schaltungs- 

10 vorrichtung bestehend aus zumindest einer AdreB- und Steuer- 
logikschaltung und einem nicht f luchtigen Speicher, wobei zu- 
mindest ein Teil des nicht f luchtigen Speichers I6schbar ist, 
und die Speicherpiatze des zum Speichern der jeweiligen Wert- 
einheiten der B6rsenkarte vorgesehenen Bereiches des nicht - 

15 f luchtigen Speichers in Teilbereiche jeweils unterschiedli- 
cher Wertigkeit aufgeteilt sind, wobei ein Ldschen der Spei- 
cherpiatze nur fur samtliche Speicherpl&t ze eines Teilberei- 
ches bestimmter Wertigkeit gleichzeitig m6glich ist, und je- 
der Teilbereich nur gel6scht werden kann, nachdem das Ein- 

20 schreiben eines Ubertragwertes in einen zuvor unbeschriebenen 
Speicherplatz des Teilbereiches der n£chsth6heren Wertigkeit 
erfolgt ist, und bezieht sich auf eine elektronische Bdrsen- 
karte fur einen bargeldlosen Zahlungsverkehr mxt einer inte- 
grierten Halbleiter-Schaltungsvorrichtung zur Durchfuhrung 

25 des Verfahrens. 

Zum bargeldlosen Bezahlen von Waren Oder zum Abrechnen von 
Dienstleistungen und dergleichen sind datengesteuerte Zah- 
lungssysteme in Form von Datenaustauschsystemen bekannt, bei 

30 denen die hierbei verwendeten B6rsenkarten als ein wesentli- 
ches Element einen nicht f luchtigen elektronischen Datenspei- 
cher enthalten, auf den uber elektrische Kontakte an der Kar- 
tenoberf lache zugegriffen werden kann. Uber eine Datenein- 
bzw. Datenausgabeeinrichtung (Verkaufs terminal ) wird von ei- 

35 ner Recheneinheit bei jedem Gebrauch auf den Speicherinhalt 
zugegriffen, der dabei gegebenenf alls geindert wird. Speziell 
bei der Verwendung von vorausbezahlten Datentrigeranordnun- 
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gen, die eine anonyme Bezahlung von Waren oder gebuhren- 
pflichtigen Diensten erm6glichen, muS sichergestellt sein, 
da£ der Wert der Karte durch Manipulation nur verringert, 
nicht aber erhGht werden kann. 

5 

Wiederauf ladbare BGrsenkarten sind bisher vorwiegend als Pro- 
zessorkarten realisiert worden, da die hGhere Rechenleistung 
eines Mikroprozessors eine Kontrolle der Wiederauf ladung ver- 
einfachte. In Lowend-Zahlungssystemen finden jedoch, insbe- 

10 sondere bei vorausbezahlten Karten, zunehmend intelligente 
Speicherkarten Verwendung* Die von der Anmelderin derzeit 
verwendete Chipkarte zeigt, dafi kryptologische Echtheits- und 
Berechtigungspruf ungen der Teilnehmer an Zahlungsvorgangen 
heute auch mit Speicherchips auf vergleichbarem Sicherheits- 

15 niveau realisierbar sind. Die elektronische Uberwachung der 
ubertragenen GeldbetrSge mit den uber Mikroprozessoren 
realisierten Verfahren wurden jedoch solche Karten zu auf wen- 
dig machen. 

20 Bei wiederauf ladbaren B6rsenkarten, sowohl auf Mikroprozes- 
sor-, als auch auf Speicherbasis , ist grundsatzlich davon 
auszugehen, da£ nicht nur ein Systemgeheimnis , sondern auch 
ein Kryptoalgorithmus fur Echtheitspruf ungen vorhanden ist. 
Trotzdem sind verschiedene Risiken zu betrachten. Zum einen 

25 kann auch nach elektronischer Authentif ikation der am Wieder- 
aufladen beteiligten Partner nicht ausgeschlossen werden, dafi 
ein Betruger durch Manipulation der Ubertragungsdaten den 
Aufbuchungswert der Borsenkarte manipuliert. Zum weiteren be- 
steht die Aufbuchung aus einem L6sch-Schreibzyklus des nicht - 

30 fluchtigen ZAhlbereichs, bei dem die BOrsenkarte voruberge- 
hend auch einen hGheren Geldwert annehmen kann. Eine Unter- 
brechung des Ladevorgangs in einem geeigneten Augenblick 
wurde dann zu einem unberechtigt hohen BOrsenwert fuhren. Ein 
LSsch-Schreibzyklus setzt sich hierbei aus zwei Vorg&ngen 

35 zusammen: zuerst L6schen des vollgeschriebenen zahlers oder 
von Teilbereichen des zahlers, und danach Einstellung bzw. 
Einschreiben des neuen Zdihlerstandes . LOschen ist hierbei 
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def initionsgemafc der Vorgang, bei dem eine gr&Sere Anzahl von 
Inf ormationswerten (Bits) auf Speicherpiatzen gleichsinnig 
geandert wird. Erst durch Schreiben wird anschliefiend das 
gewunschte spezifische Bitmuster erzeugt . Entwerten durch 
5 Schreiben einzelner Bits mufi aus sicherheitstechnischen Grun- 
den der elektrische Entladevorgang von Speicherpiatzen sein, 
damit bei eventueller Selbstentladung der Zellen der B6rsen- 
wert nur abnehmen kann. L6schen ist damit der risikobehaf te- 
te, werterhGhende Vorgang. Im Zeitraum zwischen dem Ldschen 
10 und dem Schreiben nimmt der zahler als Zwischenzustand vor- 
ubergehend einen Maximalwert an, der erst durch die Schreib- 
vorgange wieder korrigiert wird. Das Manipulationsrisiko bei 
der bekannten Chipkarte liegt in diesem unvermeidbaren Zwi- 
schenzustand . 

15 

Gemafc der schematischen Darstellung nach Fig. 1 soil zunachst 
das Funktionsprinzip einer heutigen, vorbezahlten Karte, die 
nach einem vollstandigen Verbrauch des BOrsenwertes nicht er- 
neuert wird, erlautert werden. Der Abbuchvorgang beispiels- 

20 weise in einer vorbezahlten Telef on-Wertkarte wird in der Re- 
gel mit einem Sicherheitszahler als "elektronischer Abakus* 
realisiert, beispielsweise durch das in der EP 0 321 727 Bl 
beschriebene Verfahren. Ein nichtf luchtiger Wertzdhler ist in 
der Weise elektronisch abgesichert, daS sein Wert durch die 

25 Programmiervorgange niemals erhGht werden kann. Konventio- 
nelle Binarzahler, bei denen fortlaufend Bits gelGscht und 
geschrieben werden mussen, scheiden als Wertzahler aus. 

GemaS Fig. 1 besteht die in der Karte verwendete Zahlanord- 
3 0 nung aus einem Wertzahler mit fdnf Stufen zu je 8 EEPROM-Zel- 
len, die als Oktalzahler verschaltet sind. Jeder Stufe ist 
eine festgelegte Wertigkeit zugeordnet . Im Oktalzahler hat in 
benachbarten Wertstufen ein Bit der hSherwertigen Stufe 
jeweils die 8-fache Wertigkeit eines Bits der darunter lie- 
35 genden Stufe. In Telef onkarten sind den Bits der funf 8-Bit- 
Stufen jeweils die Werteinheiten 1, 8, 64, 512 bzw. 4096 
zugeordnet. Bei dem Zahlenbeispiel gemaS Fig. 1 wird bei- 
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spielsweise bei der Initialisierung einer 12-DM-Karte (= 
1.200 Werteinheiten) ein entsprechender zahlerstand einge- 
stellt (1.200 = 2*512 + 2*64 + 6*8). Der theoretische , maxi- 
male zahlumfang der Karte von 8 5 = 32768 Einheiten wird in 
5 der Regel nicht ausgemitzt, im angegebenen Beispiel befindet 
sich daher kein einziges Bit in der obersten zahlstufe 5. Vor 
der Entwertung sind die zahlerbits gel6scht und haben gemafi 
der vorliegend verwendeten Definition den logischen Zustand 
•1*. Zur Entwertung wird der failige Betrag auf die funf zah- 

10 lerstufen aufgeteilt und die betreffende Anzahl von Bits 

durch Schreiben von *1* nach *0* entwertet. Die unteren vier 
Wertstufen 1 bis 4 sind als EE PROM, die oberste Stufe 5 ist 
als PROM ausgebildet. Sind alle Bits einer unteren Wertstufe 
verbraucht, so mufS uber das Terminal vor weiteren Abbuchungen 

15 ein interner Umbuchvorgang eingeschoben werden, bei dem die 8 
vollgeschriebenen Bits einer Stufe wieder nach "1" gel6scht 
werden, nachdem zuvor ein geloschtes Bit der daruberliegenden 
Stufe durch Schreiben nach "0" entwertet worden ist. Der Um- 
buchvorgang selbst ist wertneutral, da sich Entwertung und 

2 0 Aufwertung ausgleichen. Fur eine absichtliche Unterbrechung 
des Umbuchvorgangs gibt es keinen Betrugsanreiz, da die Ent- 
wertung zuerst vorgenommen wird. Der zahlerstand der Telefon- 
karte kann vom vorgegebenen Anfangswert mittels Schreib- und 
Loschvorgdngen nur herabgesetzt werden und ist damit vom Kon- 

25 zept her schwer manipulierbar . 

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren bzw. 
eine Vorrichtung zur Verfugung zu stellen, welche mit einem 
vergleichsweise geringen Zusatzaufwand eine manipuliersichere 
30 Wiederauf ladung mit einem beliebigen B6rsenwert erm6glicht, 

wobei gleichzeitig die derzeit verwendeten Konzepte von Chip- 
karten im wesentlichen beibehalten werden sollen. 

Diese Aufgabe wird durch ein Verfahren zum Wiederauf laden 
35 einer B6rsenkarte mit einer Halbleiter-Schaltungsvorrichtung 
gemafi Anspruch 1 und durch eine im Anspruch 9 angegebene B6r- 
senkarte geldst. 
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Der Erfindung liegt zunachst die Erkenntis zugrunde, dafi neue 
Werteinheiten auf der B6rsenkarte tatsdchlich nicht im physi- 
kalischem Sinne neu geladen werden, sondern durch Einfuhrung 
5 eines unabh&ngig zu schreibenden Freigabewertes lediglich 
freigegeben werden. Auf diese Weise wird unter Beibehaltung 
der wesentlichen Konzepte der bisherig verwendeten Speicher- 
karten eine manipulationsgeschutzte Wiederauf ladung mdglich, 
und zwar mit einem lediglich geringen Zusatzaufwand. Die B6r- 

10 senkarte erreicht in der Phase der Freigabe zu keinem Zeit- 
punkt einen erh6hten Geldwert . Das Konzept der gesicherten 
internen Umladung des Sicherheitszahlers wird auch fur die 
Wiederauf ladung mit genutzt. Der kritische Vorgang des L6- 
schens wird im Rahmen der eigentlichen Wiederauf ladung gar 

15 nicht durchgefuhrt und aus der Auf ladung ausgegliedert . wah- 
rend einer Wiederauf ladung wird nur geschrieben. 

Dem Prinzip der Erfindung folgend wird der Wertzahler der 
BGrsenkarte in der aufladbaren elektronischen Bdrsenkarte im 
20 zahlumfang durch zumindest ein Freigaberegister in der Weise 
erweitert # daS er die Summe aller mGglichen Aufladungen be- 
stimmt. Fur das zusatzlich in der BSrsenkarte vorgesehene 
Freigaberegister sind nicht ObermASig viele zusatzliche Spei- 
cherplatze erf orderlich, da es sich zunfcchst lediglich urn die 
25 hdchstwertigen Bits im Wertzahler handelt, die einzeln 

jeweils viele Werteinheiten beinhalten. Im Auf ladeterminal 
werden die Werteinheiten des vergr&Serten Wertzahlers durch 
Schreiboperationen fur die Abbuchung erst freigegeben oder, 
anders ausgedruckt, im Wertzahler auf gebucht . Die freigegebe- 
3 0 nen Werteinheiten erlauben anschlieSend die Durchfuhrung 

wertneutraler Umbuchvorgange innerhalb des Wertzahlers, die 
erst im Verkauf sterminal im Rahmen einer Abbuchung veranlaSt 
werden, und die erprobte Manipuliersicherheit des Sicher- 
heitszdhlers in der BOrsenkarte ohne zusAtzliches Risiko aus- 
3 5 nutzen. 
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Erf indungsgemAfc sind den Werteinheiten von zumindest den 
Speicherpiatzen des h6chstwertigen Teilbereiches in dem Frei- 
gaberegister der B6rsenkarte zu speichernde Freigabewerte 
zugeordnet, welche entweder einen Freigabe- oder einen Sperr- 
5 zustand fur die jeweils zugeordneten Werteinheiten der Spei- 
cherpiatze des wenigstens hSchstwertigen Teilbereiches repra- 
sentieren. Eine Erh6hung des Kartenwertes der B6rsenkarte ist 
lediglich durch Anderung eines der Werteinheit eines Spei- 
cherplatzes zugeordneten Freigabewertes vom Sperr- in einen 
10 Freigabezustand m6glich. 

Hierbei kann bei einer bevorzugten Ausfuhrung der Erfindung 
vorgesehen sein, da£ die aufgrund des im Freigaberegister 
geschriebenen Freigabewertes ermGglichte Freigabe einer zuge- 

15 ordneten Werteinheit in dem Teilbereich der Speicherpl&tze 

einer bestimmten Wertigkeit zum L6schen des Teilbereiches der 
nSchstniedrigeren Wertigkeit verwendet wird. Die Wiederauf la- 
dung der BSrsenkarte wird hierbei durch einen Schreibvorgang 
von einem oder mehreren Freigabewerten im Freigaberegister 

20 zur Freigabe der zugeordneten Werteinheiten in einem Teilbe- 
reich des Speichers ausgef uhrt . 

In bevorzugter Weise wird das Schreiben einer Werteinheit in 
einem Teilbereich des Speichers und damit der Verbrauch eines 
25 nachzuladenen Geldwertes erst dann erm6glicht, nachdem ein 
zugeordneter Freigabewert im Freigaberegister geschrieben 
worden ist . 

Bei einer konkreten Ausgestaltung bzw. Durchfuhrung des er- 
3 0 f indungsgemaSen Verfahrens ist vorgesehen, dalS die Aufladung 
der Bdrsenkarte in einem Ladeterminal in vorbestimmten 
Schrittweiten oder deren Vielfachen entsprechend der Wertig- 
keit der bezuglich der h6chstwertigen Wertstufe unmittelbar 
darunterliegenden und zu 16schenden Wertstufe durchgefuhrt 
35 wird. 
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Bei einer weiterhin bevorzugten Ausfuhrung der Erfindung kann 
vorgesehen sein, da£ der sicherheitsrelevante Ladevorgang der 
BOrsenkarte nur wertmindernde Schreibvorgange oder wertneu- 
trale Umbuchungen beinhaltet, und vor einer Freigabe einer 
5 Werteinheit eine Echtheitsprufung der BSrsenkarte im Ladeter- 
minal vorgenommen wird. Das Verkauf sterminal sendet dabei an 
die B6rsenkarte eine frei wahlbare Challenge und dazu die 
unter Kenntnis eines gemeinsamen Geheimnisses berechnete 
Response. Die BGrsenkarte vergleicht intern die vom Verkauf s- 
0 terminal gesendete Response mit dem selbsterrechneten Wert. 
Bei Ubereinstimmung wird durch chipinterne Logik ohne zusatz- 
liche externe Datenubertragung jeweils ein Bit im Freigabere- 
gister freigegeben. Eine externe Einf lufiinSglichkeit auf den 
Auf ladebetrag besteht nicht . Bei Ubereinstimmung wird durch 
5 chipinterne Logik ohne zusatzliche externe Datenubertragung 
jeweils ein Bit im Freigaberegister freigegeben. Eine externe 
Einf lu£m6glichkeit auf den Auf ladebetrag besteht nicht. Die 
gesamte Sicherheitsuberpruf ung beim Wiederauf laden last sich 
durch (gegenseitige) Authentif ikation mittels einer zuverlas- 
sigen kryptologischen Einwegf unktion absichern. 

Der sicherheitskritische Ldschvorgang des Ladens ist als Um- 
buchungsvorgang in den Abbuchungsvorgang am Verkauf sterminal 
integriert. Die Ubernahme eines Restwertes der B6rsenkarte 
vom Zustand vor der Aufladung ergibt sich durch das Konzept 
von selbst, weil die f reigegebenen Einheiten im WertzAhler 
zum bisherigen Stand des Wertzahlers ohne Zusatzaufwand hin- 
zuaddiert werden. 

Bei einer Ausfuhrung der Erfindung kann der Gesamtkartenwert 
durch die Aufladung durch den Wert eines Bits im Freigabere- 
gister auf einen Mindestwert festgelegt sein. Die manipulier- 
geschutzte Aufladung urn beliebig einstellbare, gr6Sere Geld- 
werte ist hierbei erst ab Freigabe von zwei Bits im Freigabe- 
register mSglich, weil nur dann unter alien Restwertbedingun- 
gen die erf order lichen Umladungen im Wertzahler unter Benut- 
zung eines ersten Freigabebits durchfuhrbar sind und gleich- 
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zeitig die Karte sich dabei noch in einem niederwertigen 
Zustand befindet. 

Sind die Ladewerte kleiner als zwei Wertbits im Freigaberegi- 
5 ster, kann es passieren, dafi der Wertausgleich im Wertz&hler 
bei nur einem Freigabebit erst nach der Freigabe des Bits im 
Freigaberegister durchgefuhrt werden kann und damit weniger 
geschutzt ist . Ein Betruger k6nnte dann theoretisch die B6r- 
senkarte vor Abschlufi des Wertausgleichs mit Vorteil aus dem 

10 Ladeterminal entfernen. Dieses Betrugsrisiko bei kleineren 
Auf ladebetragen kann durch ein zus&tzliches, nicht fluchtiges 
Backup-Bit innerhalb der B6rsenlogik der BGrsenkarte besei- 
tigt werden, welches analog zu einer Backup-Logik im Wertzfih- 
ler der BOrsenkarte arbeitet: Es wird beispielsweise gleich- 

15 zeitig mit dem Freigabebit geschrieben. Zuruckgesetzt wird es 
uber das Ladeterminal nach Abschlufi des Entwertungsvorganges 
durch eine Sicherheitsprozedur ahnlich zu der beim Schreiben 
eines Freigabebits . Im Falle eines betrugerischen Abbruchs 
bleibt das Backup-Bit gesetzt, so dafi diese BSrsenkarte durch 

20 routinem&fiige Uberprufung im Verkauf sterminal auf jeden Fall 
erkannt und abgewiesen wird. 

Sollen sehr viele, kleine Auf ladebetrige zugelassen werden, 
kann es notwendig sein, den Wertz&hler so zu konf igurieren, 

25 dafi der Kontrollbereichanteil am Wertz&hler vergrGfiert und 
der ubrige Wertspeicher entsprechend verkleinert ist. In 
jedem Fall setzt aber die uneingeschr&nkte gesicherte Ein- 
stellung beliebiger Auf ladebetrage immer einen Mindest-Auf la- 
debetrag entsprechend zweier Bits im Freigaberegister voraus . 

30 Die maximale WerterhShung je Aufladung ist dagegen bei dieser 
Z&hlerkonf iguration in vorteilhaf ter Weise nicht ein- 
geschrankt . 

Wenn das gesamte Z&hlvolumen des Wertzihlers auf sehr viele, 
35 kleine Auf ladeeinheiten verteilt werden soil, die dafur sehr 
h&ufig aufzuladen sind, k6nnte der Kontrollbereich und der 
zugordnete Freigabebereich auch selber wieder als (Oktal-) 
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Zahler ausgelegt werden. In diesem Fall unterliegt jedoch 
auch der Maxima lbet rag, der bei einem einzigen Ladevorgang 
durch Schreiben mehrerer Freigabebits im Wertzahler freigege 
ben werden kann, zusatzlichen Einschrankungen. Bei wertneu- 
tralen Umladungen innerhalb der oberen Zahlbereiche kann nam 
lich die direkte Zuordnung der Bits im Freigaberegister 
(geandert im Ladeterminal ) und im Wertzahler (geandert im 
Verkaufsterminal) verloren gehen, so daS der Borseninhaber 
tatsachlich nicht den vollen Aufladewert verbrauchen kann. 
Diese Einschrankungen im maximalen Betrag bei einem einzigen 
Aufladevorgang konnen wiederum durch eine zusatzliche Flag- 
steuerung beseitigt werden, wobei diese Zahlkonf iguration im 
wesentlichen nur fur spezielle Zahlanf orderungen interessant 
sein durfte. 



Bei einer bevorzugten Ausgestaltung einer erf indungsgemaSen 
Borsenkarte kann vorgesehen sein, daS vor der Entwertung 
eines Bits im Kontrollbereich des Wertzahlers chipintem 
nicht nur gepruft wird, ob das Zusatzbit noch gel6scht -1" 
ist, sondern auch ob das zugeordnete Freigabebit den Freiga- 
bezustand "0" besitzt. Hierbei kann bei einer einfachen Aus- 
gestaltung vorgesehen sein, dafi den beiden Speicherbereichen 
unabhangige Ausleseschaltungen mit getrennten Spaltendekodern 
zugeordnet sind, urn eine vergleichsweise komplizierte seriel- 
25 le Abfrage beider Zahler zu vermeiden. Es ist aufierdem sinn- 
voll, Wertzahler inklusive Kontrollbereich einerseits und 
Freigaberegister andererseits mit einer unterschiedlichen Be- 
wertungsspannung am Steuergate der Speicherzellen zu betrei- 
ben. Wie bereits erwahnt, mufi der Wertzahler in der Weise 
30 ausgelegt sein, daS der entladene Zustand der EEPROM-Zellen 
auch dem neutralen, geschriebenen und entwerteten Zustand 
entspricht. Das Schreiben im Freigaberegister ist dagegen 
nicht entwertend, sondern werterhohend . Er ist deshalb durch 
Wahl einer niedrigeren Gatespannung vorteilhaft in der Weise 
35 auszulegen, dafi eine Speicherzelle, die durch einen Stress in 
den Neutralzustand zuruckgef alien ist, als "1 • oder nicht 
freigegeben bewertet wird (d.h. die verwendete Definition von 
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gel6scht = logisch "1 M wird in vorteilhaf ter Weise beibehal- 
ten) . 

Die Erfindung ist in der nachf olgenden Beschreibung anhand 
5 eines in der Zeichnung dargestellten Ausf uhrungsbeispieles im 
einzelnen beschrieben. 

In der Zeichnung zeigt 

10 Fig. 1 das Grundprinzip eines Sicherheitszahlers in einer 
herkdrnmlichen Speicherkarte, 

Fig. 2 das Prinzip der Aufladung durch Freigabe von Restbe- 
tragen mit Restwertubernahme gemafi der Erfindung, und 

15 

Fig. 3 die Aufladung mit Freigabe und Umladung des Wertzah- 
lers bei einer Wiederauf ladung der BSrsenkarte mit 10000 
Werteinheiten . 

20 Fig. 2 zeigt ein Ausf uhrungsbeispiel der Erfindung, bei dem 
die Speicherplatze des zum Speichern der jeweiligen Wertein- 
heiten der Bdrsenkarte vorgesehenen Bereiches des nichtfluch- 
tigen Speichers in Teilbereiche (Stufen 1 bis 5) jeweils un- 
terschiedlicher Wertigkeit (Stufenwerte 1, 8, 64, 512, 4096) 

25 aufgeteilt sind, ein L6schen der Speicherplatze nur fur samt- 
liche Speicherplatze eines Teilbereiches bestimmter Wertig- 
keit gleichzeitig mdglich ist, und jeder Teilbereich nur ge- 
loscht werden kann, nachdem das Einschreiben eines Ubertrag- 
wertes in einen zuvor unbeschriebenen Speicherplatz des Teil- 

30 bereiches der nachsth6heren Wertigkeit erfolgt ist. Erfin- 

dungsgemaS sind den Werteinheiten von zumindest den Speicher- 
piatzen des hSchstwertigen Teilbereiches (Stufe 5) in einem 
Freigaberegister der Bdrsenkarte zu speichernde Freigabewerte 
zugeordnet, welche entweder einen Freigabe- CO*) oder einen 

35 Sperrzustand (*!*) fur den jeweils zugeordneten Wertzustand 
der Speicherplatze des wenigstens hdchstwertigen Teilberei- 
ches reprasentieren, und eine Erh6hung des Kartenwertes der 
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Borsenkarte lediglich durch Anderung eines dem Wertzustand 
eines Speicherplatzes zugeordneten Freigabewertes vom Sperr- 
in einen Freigabezustand ermGglicht wird. Bei dem Zahlenbei- 
spiel gemafi Fig. 2 wird beispielsweise bei der Initialisie- 
rung einer 100-DM-Karte (= 10.000 Werteinheiten) ein entspre- 
chender Zahlerstand eingestellt (10.000 = 2*4096 + 3*512 + 
4*64 + 2*8), wobei von den 8 geschriebenen Bits im Wertzahler 
der obersten Stufe 5 aufgrund der geschriebenen Bits im Frei- 
gaberegister lediglich 2 Bits freigegeben werden. In der wie- 
deraufladbaren B6rsenkarte andert sich das prinzipielle Zahl- 
prinzip der vorbekannten Telef onkarten nicht, wie im folgen- 
den naher erlautert wird. Die oberste Zahlstufe 5 des Wert- 
zahlers kontrolliert als PROM wieder das Aufladen der benach- 
barten Stufe 4 usw. Sie erhalt jetzt aber innerhalb des Wert- 
15 zahlers die Zusatzf unktion als Kontrollbereich fur Wiederauf- 
ladungen. Unter Wiederauf ladung wird im folgenden die Freiga- 
be eines Oder mehrerer Speicherbits im Kontrollbereich zum 
L6schen der darunter liegenden Wertstufe 4 verstanden. Die 
Grofie des Kontrollbereichs begrenzt die Summe aller fur die 
2 0 Karte erlaubten Zahlungsvorgange einschlieSlich der Aufladun- 
gen. Im AusfQhrungsbeispiel k6nnen bei einer Gr6Se von 10 Bit 
beispielsweise insgesamt maximal 10*4096 = 40960 Werteinhei- 
ten oder liber 400 DM nachgeladen werden. Sollte eine erwei- 
terte Geldb6rsenanwendung einschlieSlich Aufladungen mehr 
2 5 zahleinheiten erfordern, lafit sich der Kontrollbereich auch 
als zusatzliche, hochstwertige sechste Zahlerstufe ausfuhren. 
Der kumulierte Zahlumfang steigt dann auf uber 300.000. Fur 
Geldborsen kommt daruber hinaus auch eine andere Ausfuhrung 
des Sicherheitszahlers als die des beschriebenen Oktalzahlers 
30 in Frage. 



Dem Kontrollbereich im Wertzahler, d.h. der obersten Stufe 5 
des Wertzahlers ist ein gleich aufgebautes Duplikat als Frei- 
gaberegister zugeordnet bzw. vorgeschaltet . Das Schreiben 
eines Bits im Kontrollbereich und damit der Verbrauch eines 
nachzuladenden Geldwertes ist erst moglich, nachdem das zuge- 
ordnete Bit im Freigaberegister geschrieben worden ist. Der 



WO 96/33475 



PCT/EP96/01521 



12 

Auf ladevorgang der B6rsenkarte in einem Lade terminal besteht 
aus Schreibvorg&ngen von einem Oder mehreren Bits im Freiga- 
beregister zur Freigabe der zugeordneten Bits im Kontrollz&h- 
lerbereich. Die Aufladung erfolgt also in festen Schritten 
5 oder deren Vielfachen entsprechend dem Wert der unmittelbar 
darunterliegenden und zu 16schenden Wertstufe 4. Der Inhaber 
der B6rsenkarte wird jeweils beim Schreiben der Freigabebits 
mit dem zugeordneten Geldwert belastet. 

10 Im folgenden soil ein konkretes Zahlenbeispiel fur eine Auf- 
ladung der BOrsenkarte durch Freigabe mit Umbuchung von Fest- 
betr&gen gem&S Fig. 2.1 bis 2.3 erlautert werden. Der Kon- 
trollbereich des Wertz&hlers ist im Beispiel zur Erh6hung des 
kumulierten Z&hlumfangs von 8 auf 10 Bit erh6ht . Rechts neben 

15 dem Kontrollbereich ist der zugeordnete Freigabebereich dar- 
gestellt. Fig. 2.1 zeigt den Zustand von Wertspeicher und 
Freigaberegister bei der Ausgabe der B6rsenkarte mit 10 000 
Werteinheiten . Diese Werteiheiten setzen sich aus zwei Antei- 
len zusammen: einem Anteil von 2*4096 Einheiten, die im Kon- 

20 trollbereich des WertzShlers durch die zwei geschriebenen 

Bits im Freigaberegister freigegeben sind, und aus einem An- 
teil von 1808 Einheiten, die sich uber den Zustand "1" im 
Wertzahler auf die Wertstufen 2, 3 und 4 verteilen (= 3*512 + 
4*64 + 2*8) . 

25 

Fig. 2.2 zeigt die gleiche Karte, nachdem sich der Kartenwert 
auf einen Restwert von 50 Einheiten (entsprechend 50 Pfennig) 
verringert hat (6*8 + 2) . Beim Auf ladevorgang werden zwei 
weitere Bits im Freigaberegister geschrieben und damit im 
30 Kontrollbereich des WertzAhlers freigegeben. Der Wert der 

BOrsenkarte hat sich dadurch auf 2*4096 + 50 = 8242 Einheiten 
erhGht . 

Die Aufladung der Karte durch Freigabe und Umbuchung frei 
3 5 w&hlbarer Betr&ge, sowie ein Wertausgleich im Wertzahler der 
B6rsenkarte wird wie folgt durchgefuhrt . Ein Merkmal des bis- 
her beschriebenen Auf ladekonzeptes ist hierbei, dafi die Auf- 
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ladung nicht in frei wahlbaren Schritten sondern nur in Stu- 
fen entsprechend dem Wert der zweitobersten Wertstufe 4 er- 
f olgt . Diese Einschrankung last sich jedoch in gewissen Gren- 
zen umgehen, wenn man auch den Wertzahler selbst manipula- 
5 tionsgesichert in den Auf ladevorgang einbezieht, vgl. Fig. 3. 
Wenn beispielsweise die letzte Umbucheinheit den Wert des 
Wertz&hlers uber den gewunschten Auf ladebetrag hinaus erhohen 
wurde, kann die Differenz vor dem Schreiben des letzten Frei- 
gabebits durch Schreiben im Wertspeicher ausgeglichen werden. 
10 Reicht der im Wertzahler verbliebene Restwert dazu nicht aus, 
so kann uber das Verkauf sterminal auch ein wertneutraler Um- 
buchvorgang im Wertzahler unter Verwendung des schon freige- 
gebenen Bits im Kontrollbereich veranlafit werden. 

15 Ein Wertausgleich wdhrend des Aufladens durch Schreiben im 
Wertzahler stellt kein Betrugsrisiko dar, wenn er vor dem 
Schreiben des letzten Freigabebits stattfindet. Ein Betruger, 
der wahrend der Schreibphase den Vorgang absichtlich unter- 
brechen oder unterdrucken wurde, hatte dadurch nur einen 

20 Wertverlust durch den fehlenden Betrag des Freigabebits. 

Eventuelle Manipulation durch Unterdruckung der in den Wert- 
zahler einzuschreibenden Ausgleichsdaten ist vom Terminal er- 
kennbar, wenn der Wertzdhler vor der abschliefcenden Freigabe 
des letzten Freigabebits noch einmal uberpruft wird. Durch 

25 gegenseitige Authentif ikation wird vor der Freigabe des letz- 
ten Bits der BSrsenchip mit seinem aktuellen WertzAhlerstand 
durch das Ladeterminal authentif iziert . Die korrekte Chip- 
Response ist damit auch eine Signatur des aktuellen zahler- 
standes. Ist diese Response falsch, so kann der Schreibvor- 
3 0 gang im Freigaberegister unterdruckt werden. Ein Betruger 
hatte dann nur einen Wertverlust zu tragen. 

Im folgenden soli ein konkretes Zahlenbeispiel fur die Karte 
mit einer Aufladung und einer Umbuchung frei wahlbarer Betra- 
3 5 ge erlautert werden. Fig. 3.1 zeigt den Zustand der BGrsen- 
karte von Fig. 2 mit einem Restwert von 50 Einheiten. Diese 
Karte soli urn 10 000 Einheiten oder 100 DM bei Ubernahme des 
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Restwertes manipuliersicher aufgeladen werden. Drei Bits im 
Freigaberegister wurden eine Werterh6hung urn 3*4096 = 12288 
bedeuten, d.h. 2288 Einheiten zuviel . Ohne Betrugsm6glichkeit 
werden zunAchst 2*4096 Einheiten uber den Freigaberegister 
5 freigegeben und damit der Kartenwert auf 8242 inklusive Rest- 
wert erhoht (Fig. 3.2). Als nachstes wird der Uberzahlungsan- 
teil von 2288 = 2*512 + 3*64 + 6*8 Einheiten vor Freigabe des 
3. Bits im Freigaberegister vom Wertz&hler subtrahiert. Die- 
ser Vorgang besteht im angegebenen Beispiel aus zwei Schrit- 

10 ten. Im ersten Schritt wird wertneutral eines der freigegebe- 
nen Bits zur Umladung der Wertstufen 4 bzw. 3 verwendet (Fig. 
3.3). Von den nunmehr gefullten Wertzahlerstuf en wird im 
zweiten Schritt der Uberzahlungsanteil abgebucht . Der Karten- 
wert geht dabei vorrubergehend auf 5952 Einheiten zuruck 

15 (Fig. 3.4). Erst mit dem Schreiben des 3. Freigabebits er- 
reicht die B6rsenkarte den vorgesehenen Sollwert von 10050 
Einheiten und der Ladevorgang ist abgeschlossen . 



WO 96/33475 



PCI7EP96/01521 



15 

Patentanspruche 

1. Verfahren zum Wiederauf laden einer elektronischen Borsen- 
karte fur einen bargeldlosen Zahlungsverkehr mit einer inte- 
5 grierten Halbleiter-Schaltungsvorrichtung bestehend aus zu- 
mindest einer AdreS- und Steuerlogikschaltung und einem 
nichtfluchtigen Speicher, wobei zumindest ein Teil des nicht- 
fluchtigen Speichers I6schbar ist, und die Speicherplatze des 
zum Speichern der jeweiligen Werteinheiten der Borsenkarte 
0 vorgesehenen Bereiches des nichtfluchtigen Speichers in Teil- 
bereiche (Stufen 1 bis 5) jeweils unterschiedlicher Wertig- 
keit (Stufenwerte 1, 8, 64, 512, 4096) aufgeteilt ist, wobei 
ein L6schen der Speicherplatze nur fur santtliche Speicher- 
platze eines Teilbereiches bestimmter Wertigkeit gleichzeitig 
5 mfcglich ist, und jeder Teilbereich nur geloscht werden kann, 
nachdem das Einschreiben eines Obertragwertes in einen zuvor 
unbeschriebenen Speicherplatz des Teilbereiches der nachstho- 
heren Wertigkeit erfolgt ist. 
dadurch gekennzeichnet , daS 
0 den Werteinheiten wenigstens der Speicherplatze des hochst- 
wertigen Teilbereiches {Stufe 5) in einem Freigaberegister 
der B6rsenkarte zu speichernde Freigabewerte zugeordnet sind, 
welche entweder einen Freigabe- oder einen Sperrzustand fur 
die jeweils zugeordnete Werteinheit der Speicherplatze des 
5 wenigstens hc-chstwertigen Teilbereiches reprasentieren, und 
eine ErhOhung des Gesamtwertes der B6rsenkarte lediglich 
durch Anderung eines der Werteinheit eines Speicherplatzes 
zugeordneten Freigabewertes vom Sperr- in einen Freigabezu- 
stand ermoglicht wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daE die 

aufgrund des im Freigaberegister geschriebenen Freigabewertes 
ermoglichte Freigabe einer zugeordneten Werteinheit in dem 
Teilbereich der Speicherplatze einer bestimmten Wertigkeit 
zum Loschen des Teilbereiches der nachstniedrigeren Wertig- 
keit verwendet wird. 
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3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet , 

da£ die Wiederauf ladung der B6rsenkarte durch einen Schreib- 
vorgang von einem oder mehreren Freigabewerten im Freigabere- 
gister zur Freigabe der zugeordneten Werteinheiten in einein 
5 Teilbereich des Speichers ausgefuhrt wird. 

4. Verfahren nach Anspruch 1 bis 3, dadurch gekennzeichnet , 

daS das Schreiben einer Werteinheit in einem Teilbereich des 
Speichers und damit der Verbrauch eines nachzuladenen Geld- 
10 wertes erst erm6glicht wird, nachdem ein zugeordneter Freiga- 
bewert im Freigaberegister geschrieben worden ist. 

5. Verfahren nach Anspruch 1 bis 4, dadurch gekennzeichnet , 

da£ die Aufladung der B6rsenkarte in einem Ladeterminal in 
15 vorbestimmten Schrittweiten oder deren Vielfachen entspre- 

chend der Wertigkeit des bezuglich des Teilbereiches h6chster 
Wertigkeit unmittelbar darunterliegenden und zu I6schenden 
Teilbereiches durchgefuhrt wird. 

20 6. Verfahren nach Anspruch 1 bis 5, dadurch gekennzeichnet , 
da£ der sicherheitsrelevante Ladevorgang der BSrsenkarte nur 
wertmindernde Schreibvorg^nge oder wertneutrale Umbuchungen 
beinhaltet, und vor einer Freigabe einer Werteinheit eine 
Echtheitsprufung der Borsenkarte im Ladeterminal vorgenommen 

25 wird. 

7. Verfahren nach Anspruch 1 bis 6, dadurch gekennzeichnet, 

dafi ein zusatzliches, nichtf luchtiges Backup-Bit in einem 
Speicherplatz innerhalb der B6rsenkarte gleichzeitig mit ei- 
30 nem Freigabewert geschrieben wird. 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daS das 

zusatzliche, nichtf luchtige Backup-Bit uber das Ladeterminal 
nach AbschluS des Entwertungsvorganges durch eine Sicher- 
35 heitsprozedur ahnlich zu der beim Schreiben eines Freigabe- 
wertes zuruckgesetzt wird. 
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9. Elektronische Borsenkarte fur einen bargeldlosen Zahlungs- 
verkehr mit einer integrierten Halbleiter-Schaltungsvorrich- 
tung bestehend aus zumindest einer AdreS- und Steuerlogik- 
schaltung und einem nichtf luchtigen Speicher, wobei zumindest 
ein Teil des nichtf luchtigen Speichers loschbar ist, und die 
Speicherplatze des zum Speichern des jeweiligen Entwertungs- 
zustandes der Borsenkarte vorgesehenen Bereiches des nicht- 
fluchtigen Speichers in Teilbereiche (Stufen 1 bis 5) jeweils 
unterschiedlicher Wertigkeit (Stufenwerte 1, 8, 64, 512, 
4096) aufgeteilt ist, wobei ein L6schen der Speicherplatze 
nur fur alle Speicherplatze eines Teilbereiches bestimmter 
Wertigkeit gleichzeitig moglich ist, und jeder Teilbereich 
nur gel&scht werden kann, nachdern das Einschreiben eines 
Ubertragwertes in eine zuvor unbeschriebene Speicherzelle des 
Teilbereiches der nachsthoheren Wertigkeit erfolgt ist, 
dadurch gekeonzeichnat , dafi 

den Werteinheiten wenigstens der Speicherplatze des hdchst- 
wertigen Teilbereiches (Stufe 5) in einem Freigaberegister 
der B6rsenkarte zu speichernde Freigabewerte zugeordnet sind, 
welche entweder einen Freigabe- Oder einen Sperrzustand fur ' 
die jeweils zugeordnete Werteinheit der Speicherplatze des 
wenigstens h6chstwertigen Teilbereiches reprasentieren, und 
die Halbleiter-Schaltungsvorrichtung derart ausgebildet ist, 
dafi eine ErhShung des Gesantwertes der Borsenkarte lediglicn 
durch Anderung eines der Werteinheit eines Speicherplatzes 
zugeordneten Freigabewertes vom Sperr- in einen Freigabezu- 
stand ermoglicht ist. 

10. Borsenkarte nach Anspruch 9, dadurch gekennzeichaet, dafi 
den Speicherplatzen wenigstens des hochstwertigen Teilberei- 
ches (Stufe 5) des Speichers ein im wesentlichen gleich auf- 
gebautes Duplikat des Freigaberegisters zugeordnet bzw. vor- 
geschaltet ist . 



11. Borsenkarte nach Anspruch 9 Oder 10, dadurch B ekenn«±ch- 

net, daS die Anzahl der Speicherplatze des h6chstwertigen 
Teilbereiches (Stufe 5) des Speichers die Summe aller fur die 



WO 96/33475 



PCT/EP96/01521 



18 

Borsenkarte erlaubten Zahlungsvorgange einschlieSlich der 
Aufladungen begrenzt . 

12. BSrsenkarte nach Anspruch 9 bis 11, dadurch gekennzeich- 
5 net, dafi wenigstens der zum Speichern des jeweiligen Entwer- 
tungszustandes der B6rsenkarte vorgesehene Bereich des nicht- 
fluchtigen Speichers als mehrstuf iger zahler (Wertz&hler) 
ausgebildet ist. 



10 13. Borsenkarte nach Anspruch 12, dadurch gekennzeichnet , da£ 

der mehrstufige zahler (Wertzahler) als OktalzShler ausgebil- 
det ist . 



14. Borsenkarte nach Anspruch 9 bis 13, dadurch gekennzeich- 

15 net, dafi wenigstens der zum Speichern des jeweiligen Entwer- 
tungszustandes der Bdrsenkarte vorgesehene Bereich des nicht- 
fluchtigen Speichers einen elektrisch iSschbaren Festwert- 
speicher (EE PROM) aufweist. 
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